| |
El inicio de este tema se dió cuando un usuario comenzó a quejarse que su equipo no podía funcionar correctamente cuando se conectava a la VPN.
Obviamente, como administradores de redes que somos.. lo primero que pensamos.. ufff. este usuario !!!.. o sino.. "es tu conexión revisá...", porque?
porque no había quejas de nadie más, la vpn funcionaba correctamente asi como todo el resto de la infraestructura...
y el mismo conjunto de usuario y equipo, funcionaban correctamente cuando estaban en la oficina....
La presunción es la madre de todas las...
Si, lo sabemos, "la presunción es la madre de todas las ca..." digamos de todos los errores..., asi que, le dimos la derecha al usuario y le pedimos que nos prestara su equipo para probarlo.
El problema que se planteaba era el siguiente.... se conecta a la VPN, se autentica correctamente, pero luego el equipo se tome terriblemente lento y no puede acceder a carpetas en los servidores ni tampoco a las impresoras.
Sin embargo... a veces, si se reinicia el equipo, y luego se conecta a la VPN, ya sea desde el LOGON (iniciando sesion en la VPN), o luego de iniciar sesion, el equipo funciona correctamente.... what????
Un poco de contexto...
Puntualmente el ambiente donde se dió este problema.....
- Ambiente de Dominio de Windows
- File Servers y Print Server bajo Windows Server 2012 R2
- Ambiente controlado por políticas
- Los usuarios NO SON administradores locales
- Control de ejecución de software via SRP (Software Restriction Policies)
- Instalación de Software y Printers via GPO (Group Policies)
- VPN Basada en PPTP/GRE o IPSEC (en ambos accesos se presentaba el mismo problema)
- Antivirus Corporativo (con firewall / control de navegación - no exactamente un endpoint pero similar)
Básicamente, un ambiente controlado, lo que inicialmente nos lleva a pensar que no puede ser un problema de usuario
Acotamiento del problema
Una vez que nos hicimos del equipo del usuario, procedimos a verificar su funcionalidad
- Cable: La conexión por cable en la oficina se verificó funcionando perfecto
- WiFi: La conexión Wifi en la oficina se verificó funcionando perfecto
- Reinicio: Reinicio y prueba VPN ... perfecto
Otras vez nos apresuramos con las conclusiones, ... nahh todo funciona bien.. que es lo que le pasa????
Pero, como problema que se va sin que lo echen.. vuelve sin que lo llamen... tenemos que profundizar las pruebas....
Asi, dejamos el equipo a un lado, y volvimos sobre él a la hora solo para comprobar que el usuario tenía razón, el equipo era inusable por VPN....
comenzamos el diagnístico....
Los sospechosos de siempre... SMB ?
Una vez que pudimos ver en "vivo y en directo" el problema, pudimos comenzar a analizar el mismo...
Que vimos...
- La conexión de VPN se establece bien
- Se obtiene una dirección IP de VPN correcta
- Hay ping contra los servidores (lo que implica que hay ruta)
- El SMB NO funciona...
Entonces????? ... ah... pará.. el equipo es Windows 11....
Será un problema del cliente SMB????
Lo pensamos un rato... no me gusta hacer cambios sin tener un dignóstico...
No, no debería, si fuera así... porque funcionó via cable, y via Wifi...
Probamos?
Dada la insistencia de algunos de mis colegas, probamos... instalamos SMB 1 en Windows 11, reiniciamos y probamos....
FUNCIONA !!!!.., increiblemente, funcionó... pará... no puede ser.. esto es otra cosa... la lógica indica que no puede ser esta la solución... probemos más tarde..
Dejamos el equipo desconectado de la VPN, encendido, sin hacer nada, y al cabo de 1 hora volvimos a probar... nahhhh.. NO FUNCIONA
Los sospechosos de siempre... MTU ?
Descartado el SMB (nuevamente.. no podía ser.. sino, cableado tampoco hubiera funcionado...), nos salta a la cabeza que podría ser un tema MTU (Maximun Transfer Unit), que corrompiera el SMB en la conexión VPN.
Podría tener sentido, pero.. no debería afectar a todas las conexiones?... si estuviera el problema en los ISP que dan salida / entrada a la empresa, si, pero no es ese el caso...
entonces? sería el ISP que el cliente usaba para conectarse?... si fuera ese el caso.. porque cuando lo probamos con otro ISP fuera del domicilio del cliente también falló???
MTU DESCARTADO, no creemos en las casualidades, asi que que dos ISP, tengan el mismo problema con la MTU... no hay forma...
Windows 11 ?
No,... tampoco.... Windows 11, puede ser culpable de muchas cosas... (y que lo digas...), pero no de esta...
Todo el resto de los equipos Windows 11 de la empresa funcionan sin problemas...
Hardware ?
Será un problema de hardware? Será un problema del driver de la placa?
Nó, y nó, hicimos pruebas con conexiones cableadas y falló, hicimos pruebas con conexiones wifi y falló... 2 placas diferentes, 2 hardware diferentes, .. igual para autoconvencernos.. agregamos una docking station para conectarnos por cable desde alli...
falló.... .. entonces????
Antivirus? Firewall?
Ambos descartados, configurados por GPO en forma idéntica en todos los equipos, no estaban influyendo en esto,
también verificamos ACL (Access Control List), en todos los switches y routers... no afectaban...
nos estamos quedando sin culpables...
Primer conclusión
Hay algo en este equipo, que no está en otros equipos o está configurado diferente y está afectando la funcionalidad...
Recordemos, los equipos se configuran via gpo, los usuarios no son administradores, ergo, tiene que ser algo que se puede configurar o alterar a nivel usuario...
Comienza la caza de brujas.... y aparece el culpable...
Dell Optimizer
Ah... no les dije que las laptops eran Dell... mala mía.. me lo comí
Cuando comenzamos a ver que podía ser lo que afectaba, observamos que el equipo tenía un software pre-instalado, el Dell Optimizer, cuya funcionalidad podía ser activada o desactivada por el usuario,
y entre sus configuraciones tenía la posibilidad de "optimizar" la velocidad de red.
Inmediatamente se transformó en nuestro sospechoso... increiblemente, a nivel usuario, pudimos desactivar esta opmitización y los problemas desaparecieron...
Nos quedamos con el equipo un par de días más... probamos desde varias conexiones.. y siempre funcionó...
Conclusión final
Aún en ambientes controlados, la aparición de un problema de este tipo, puede llevar horas de troubleshooting, sin embargo, si se sigue la metodología y no se cae en apresuramientos, a la larga la falla se encontrará
Confiar en los conocimientos, ampliar las pruebas, y llegar a conclusiones binarias, terminará por revelar el culplable.. en definitiva.. gracias dell.. pero no me optimices nada más....
|
|
